«Ті, хто готовий пожертвувати фундаментальною свободою заради тимчасової безпеки, не заслуговують ані на свободу, ані на безпеку» – ця мудра цитата Бенджаміна Франкліна нагадує нам про важливість захисту наших прав та інформації в сучасному світі.
Соціальна інженерія вже деякий час є актуальною темою у сфері кібербезпеки. Фахівці активно обговорюють цю проблему, однак багато хто не до кінця розуміє, наскільки вона є загрозливою та які наслідки можуть бути.
Для кіберзлочинців соціальна інженерія є одним з найпростіших та найефективніших способів обходу систем безпеки. Інтернет, з’єднавши пристрої по всьому світу, відкрив величезні можливості, але разом із тим створив вразливості, які можуть призвести до витоку персональних даних та порушення конфіденційності.
З давніх-давен люди використовували різні методи кодування та захисту інформації. Одним з найвідоміших прикладів є шифр Цезаря, де повідомлення кодуються шляхом зміщення літер в алфавіті. Наприклад, “привіт, світе”, змістивши літери на один символ, перетвориться на “іфммв, твiте”. Декодеру потрібно буде змістити літери назад, щоб прочитати оригінальне повідомлення.
Простота цієї техніки не завадила їй проіснувати майже два тисячоліття!
Сьогодні ми маємо набагато складніші системи безпеки, але безпека все ще залишається серйозним викликом.
Важливо розуміти, що хакери використовують безліч різних методів для отримання важливої інформації. Давайте розглянемо деякі з них, щоб зрозуміти, чому соціальна інженерія є такою значною проблемою.
Атаки грубою силою та словникові атаки
Атака грубою силою передбачає використання спеціальних програм для перебору всіх можливих комбінацій символів, щоб зламати пароль. Словникова атака, своєю чергою, використовує список слів (словник) у спробі підібрати пароль користувача.
Хоча атаки грубою силою залишаються потужним інструментом, їх ефективність знижується завдяки сучасним алгоритмам безпеки. Наприклад, для пароля на зразок ‘[email protected]!!!’, що складається з 22 символів, комп’ютеру потрібно буде обчислити 22 факторіали для перебору всіх комбінацій. Це величезна кількість обчислень.
Крім того, існують алгоритми хешування, які перетворюють пароль на хеш, щоб ускладнити його підбір. Наприклад, наш пароль може бути перетворений на d734516b1518646398c1e2eefa2dfe99. Це значно підвищує рівень безпеки. Ми детальніше розглянемо техніки безпеки пізніше.
Якщо ви є власником сайту WordPress, і шукаєте способи захисту від атак грубою силою, вам може допомогти ця інформація.
DDoS атаки
Джерело: comodo.com
Розподілені атаки типу “відмова в обслуговуванні” (DDoS) виникають, коли користувач втрачає доступ до легітимних інтернет-ресурсів. Це може статися як на стороні користувача, так і на стороні сервісу, до якого він намагається отримати доступ.
DDoS атаки зазвичай призводять до втрати доходу або клієнтської бази. Зловмисники можуть використовувати “BotNet” (мережа заражених комп’ютерів), щоб дестабілізувати мережу або перевантажити її трафіком непотрібних пакетів даних, що призводить до відмови мережевих ресурсів та вузлів.
Фішинг
Фішинг – це вид кібератаки, коли зловмисники намагаються викрасти дані користувача, створюючи підроблені сторінки входу на веб-сайти. Зазвичай зловмисник надсилає електронний лист, який виглядає як повідомлення від надійного джерела (банку чи соцмережі), із посиланням на фішинговий сайт. Ззовні такі сторінки можуть здаватися цілком легітимними, але при уважному розгляді стає очевидно, що це підробка.
Наприклад, колись фішингове посилання використовувало paypai.com, щоб обдурити користувачів PayPal і отримати їхні дані.
Типовий приклад фішингового електронного листа:
“Шановний користувачу,
Ми помітили підозрілу активність у вашому обліковому записі. Будь ласка, перейдіть за посиланням, щоб змінити пароль і уникнути блокування вашого облікового запису”.
Існує висока ймовірність того, що ви вже були жертвою фішингової атаки. Чи траплялося вам коли-небудь потрапляти на сторінку входу знову після спроби авторизації на сайті? Якщо так, то вас успішно “зафішили”.
Як працює соціальна інженерія?
Хоча алгоритми шифрування постійно вдосконалюються, соціальна інженерія залишається потужною загрозою.
Соціальний інженер зазвичай збирає інформацію про вас, щоб отримати доступ до ваших облікових записів та інших захищених ресурсів. Зловмисник змушує жертву розкрити особисту інформацію через психологічні маніпуляції. Найгірше те, що ця інформація може надійти не від вас, а від когось, хто вас знає.
Як правило, ціль соціальної інженерії – не той, хто безпосередньо стає її жертвою.
Приклад: одна з великих телекомунікаційних компаній у Канаді нещодавно потрапила в новини через соціальну інженерію, спрямовану проти її клієнтів. Співробітники служби підтримки розкривали конфіденційні дані під час масових атак на SIM-карти, що призвело до втрати 30 000 доларів.
Соціальні інженери грають на людській невпевненості, недбалості та необізнаності, щоб отримати важливу інформацію. З поширенням дистанційної підтримки організації стали вразливішими до таких атак через людський фактор.
Будь-хто може стати жертвою соціальної інженерії, але ще страшніше те, що вас можуть зламати, навіть не підозрюючи про це!
Як захиститися від соціальної інженерії?
- Не використовуйте особисту інформацію (дату народження, ім’я домашньої тварини, дитини тощо) як пароль.
- Створюйте складні паролі. Якщо ви не можете їх запам’ятати, скористайтеся менеджером паролів.
- Розпізнавайте брехню. Соціальний інженер, як правило, не має достатньо інформації, щоб одразу вас зламати. Він дає неправдиві дані, сподіваючись, що ви надасте правильні, а потім попросить ще. Не піддавайтеся на це!
- Перевіряйте справжність відправника та домен перед тим, як виконувати дії з електронними листами.
- Негайно звертайтеся до банку, якщо помітили підозрілу активність на рахунку.
- Якщо ви раптово втратили мобільний зв’язок, негайно зверніться до свого оператора. Це може бути ознакою атаки на SIM-карту.
- Увімкніть двофакторну автентифікацію (2FA) у сервісах, які її підтримують.
Висновок
Ці кроки не забезпечать повний захист від соціальної інженерії, але вони ускладнять хакерам доступ до вашої інформації.